Le règlement général sur la protection des données (RGPD), la loi phare de l'Union européenne sur la confidentialité des données, est entré en vigueur en 2018. Cependant, de nombreuses organisations peinent encore à se conformer aux exigences, et les autorités de protection des données de l'UE n'hésitent pas à infliger des sanctions.
Les entreprises les plus puissantes au monde ne sont pas immunisées contre les difficultés liées au RGPD. L'Irlande a sanctionné Meta d'une amende record de 1,2 milliard d'euros (lien externe à ibm.com)en 2023. Les autorités italiennes enquêtent sur OpenAI (lien externe à ibm.com) pour des soupçons de violations du RGPD, allant même jusqu'à brièvement interdire ChatGPT.
Nombreuses sont les entreprises qui peinent à répondre aux exigences du RGPD, car en plus d’être complexe, ce dernier laisse une marge d'appréciation importante. Le RGPD fixe une longue litanie de règles visant à encadrer le traitement des données personnelles des résidents de l’UE par les entreprises implantées en Europe et en dehors de l’Europe. Il laisse toutefois aux entreprises une certaine marge de manœuvre pour appliquer ces règles.
Le plan de mise en conformité au RGPD d'une organisation variera en fonction des types de données qu'elle collecte et de la manière dont elle les utilise. Toutefois, certaines étapes clés sont applicables à toutes les entreprises lors de la mise en œuvre du RGPD :
Le RGPD s'applique à toute organisation traitant des données personnelles de résidents européens, quel que soit son lieu d'implantation. Compte tenu de l'interconnexion de l'économie numérique mondiale, cela concerne la majorité des entreprises aujourd'hui. Même les organisations non soumises au RGPD peuvent choisir d'adopter ses exigences afin de renforcer leurs protections des données.
Plus précisément, le RGPD concerne tous les responsables du traitement des données et sous-traitants implantés dans l’Espace économique européen (EEE). L’EEE comprend les 27 États membres de l’UE ainsi que l’Islande, le Liechtenstein et la Norvège.
Le responsable du traitement est la personne morale (entreprise, group, etc.) ou physique qui collecte des données personnelles et détermine la façon dont elles sont utilisées. Exemple : un commerçant en ligne qui stocke les adresses e-mail de ses clients pour les tenir informés de l’état de leurs commandes.
Un sous-traitant de données est une entreprise ou un organisme qui traite des données. Selon la définition très large donnée par le RGPD, le traitement est toute opération effectuée sur les données (stockage, analyse, modification, etc.). Les sous-traitants sont des tiers qui traitent les données à caractère personnel pour le compte d’un responsable du traitement (par exemple, une entreprise de marketing qui analyse les données des utilisateurs pour aider une entreprise à déterminer les principales caractéristiques démographiques de ses clients).
Le RGPD concerne également les responsables du traitement et les sous-traitants implantés en dehors de l’EEE qui remplissent au moins l’une des conditions suivantes :
Quelques autres points méritent d’être soulignés en ce qui concerne le champ d’application du GDPR. Tout d’abord, il ne s’intéresse qu’aux données personnelles des personnes physiques, dénommées personnes concernées. Une personne physique est un être humain vivant. Le GDPR ne protège pas les données des personnes morales, comme les sociétés, ni celles des personnes décédées.
Deuxièmement, nul besoin d’être citoyen de l’UE pour être protégé par le RGPD. Il suffit d’être résident de l’EEE.
Enfin, le RGPD encadre le traitement des données personnelles quelle que soit la finalité (commerciale, de recherche, gouvernementale, etc.). Les entreprises, les hôpitaux, les écoles et les pouvoirs publics sont tous soumis au RGPD. Les seules opérations de traitement exemptées du RGPD sont les activités liées à la sécurité nationale et à l’application des lois, ainsi que l’utilisation exclusivement personnelle des données.
Il n'existe pas de plan de conformité RGPD universel, mais certaines pratiques fondamentales peuvent guider les efforts de mise en œuvre du RGPD dans les organisations.
Pour connaître les principales exigences du RGPD, consultez la check-list de conformité au RGPD.
Bien que le RGPD n’exige pas explicitement de faire un inventaire des données, bon nombre d’entreprises commencent par là, et ce pour deux raisons. Premièrement, connaître les données dont elle dispose et savoir comment elles sont traitées permet à l’entreprise de mieux comprendre ses obligations en matière de conformité. Par exemple, une entreprise qui collecte des données sur la santé de ses utilisateurs a besoin de protections plus efficaces qu’une entreprise qui collecte uniquement leurs adresses e-mail.
Deuxièmement, un inventaire complet facilite également le respect des demandes des utilisateurs en matière de partage, mise à jour ou suppression de leurs données.
L’inventaire des données peut regrouper les informations suivantes :
Il peut être difficile de localiser les données personnelles dispersées dans différents workflows, bases de données, points de terminaison et même dans des actifs de shadow IT.actifs informatiques parallèles. Pour rendre la gestion des inventaires de données plus simple, les entreprises peuvent envisager d'utiliser des solutions de protection des données capables de découvrir et de classer automatiquement les données.
Lors de l’inventaire des données, les entreprises doivent prendre en compte toutes les données particulièrement sensibles, qui nécessitent une protection supplémentaire. Le RGPD impose des précautions supplémentaires pour trois types de données : les données appartenant à des categories particulières, les données relatives aux condamnations pénales et les données des enfants.
Au cours de l’inventaire des données, les entreprises enregistrent chaque opération de traitement subie par les données. Ensuite, elles doivent s’assurer que ces opérations répondent aux exigences de traitement du RGPD. Voici quelques-uns des principes les plus importants du RGPD :
Pour découvrir la liste complète des bases légales approuvées, consultez la page consacrée à la conformité RGPD.
Pour obtenir une liste complète des principes de traitement du RGPD, consultez la Liste de contrôle de conformité au RGPD.
Le consentement de l’utilisateur est une base légale courante pour le traitement des données. Selon le RGPD, le consentement n’est valide que s’il est libre, exprès et éclairé. Les entreprises doivent veiller à ce que leurs formulaires de consentement répondent à ces exigences.
Les entreprises de plus de 250 salariés, ainsi que les entreprises de toute taille qui traitent régulièrement des données ou qui traitent des données à risque élevé, doivent tenir un registre électronique des activités de traitement, qui doit se présenter sous forme écrite.
Il est toutefois préférable que chaque entreprise conserve un tel registre. Cela permet non seulement de suivre les efforts en matière de sécurité et de protection de la vie privée, mais aussi d’attester de sa conformité en cas d’audit ou de violation. Les entreprises peuvent faire alléger, voire éviter les sanctions si elles sont en mesure de prouver leur bonne foi et leurs efforts en matière de conformité.
Les responsables du traitement ont tout intérêt à faire preuve de rigueur dans la tenue de leur registre, car le RGPD les tient responsables de la conformité de leurs partenaires et fournisseurs.
Les autorités publiques et les organisations qui effectuent un traitement régulier de données à caractère particulier ou une surveillance à grande échelle sont obligées de désigner un délégué à la protection des données (DPO). Un DPO est un dirigeant indépendant chargé du respect des règles de conformité du RGPD. Les responsabilités courantes comprennent la supervision des évaluations des risques, la formation des employés aux principes de protection des données et la collaboration avec les autorités gouvernementales.
Bien que seules certaines organisations soient tenues de nommer un délégué à la protection des données (DPD), toutes peuvent envisager de le faire afin de faciliter la mise en conformité au RGPD.
Les DPO peuvent être des salariés de l'entreprise ou des consultants externes qui proposent leurs services sur contrat. Les DPO doivent rendre compte directement au plus haut niveau de direction. L'entreprise ne peut pas exercer de représailles contre un DPO dans 'exercice de ses fonctions.
Les organisations situées en dehors de l'EEE doivent désigner un représentant au sein de l'EEE si elles traitent régulièrement les données de résidents de l'EEE ou des données hautement sensibles. La principale fonction du représentant de l’EEE est de coordonner les autorités de protection des données au nom de l’entreprise lors des enquêtes. Le représentant peut être un employé, une société affiliée ou un prestataire de services.
Le DPD et le représentant de l'EEE ont des rôles distincts avec des responsabilités différentes. Notamment, le représentant agit sous la direction de l'organisation, tandis que le DPD est un agent indépendant. Une organisation ne peut pas désigner une seule personne (lien externe à ibm.com) pour assumer à la fois les rôles de DPD et de représentant de l'EEE.
Si une organisation opère dans plusieurs États de l’EEE, elle doit identifier une autorité de contrôle principale. L'autorité de contrôle principale est l'autorité de protection des données (DPA) chargée de superviser la conformité RGPD pour cette entreprise dans toute l'Europe.
Généralement, l'autorité de contrôle principale est le DPA dans l'État membre où l'organisation a son siège ou exerce ses activités de traitement principales.
Le RGPD oblige les organisations à informer leurs utilisateurs de la manière dont elles utilisent leurs données. Les entreprises peuvent satisfaire à cette exigence en rédigeant des politiques de protection de la vie privée qui décrivent clairement leurs opérations de traitement, y compris ce que l'entreprise collecte, les politiques de conservation et de suppression, les droits de l'utilisateur et d'autres détails pertinents.
Les politiques de confidentialité doivent utiliser un langage clair que tout le monde peut comprendre. Masquer des informations importantes derrière un jargon incompréhensible peut être considéré comme une violation du RGPD. Les organisations peuvent veiller à ce que les utilisateurs voient leurs politiques en partageant des avis de confidentialité au moment de la collecte des données. Les organisations peuvent également publier leurs politiques de confidentialité sur des pages publiques et facilement consultables sur leurs sites Web.
Les responsables du traitement sont responsables en dernier ressort des données personnelles qu'ils collectent, y compris de la manière dont leurs sous-traitants, leurs fournisseurs et d'autres tiers les utilisent. En cas de non-conformité de leurs partenaires, les responsables du traitement peuvent être sanctionnés.
Les organisations doivent passer en revue leurs contrats avec tous les tiers qui ont accès à leurs données. Ces contrats doivent spécifier clairement les droits et responsabilités de toutes les parties concernant le RGPD de manière juridiquement contraignante.
Si une organisation travaille avec des sous-traitants en dehors de l'EEE, ces sous-traitants sont toujours tenus de respecter les exigences du RGPD. De fait, les transferts de données en dehors de l'EEE sont soumis à des normes rigoureuses. Les responsables du traitement dans l'EEE ne peuvent partager des données avec des sous-traitants en dehors de l'EEE que si l'un des critères suivants est satisfait :
Une manière de garantir que tous les partenariats et transferts de données respectent le RGPD est d'utiliser des clauses contractuelles types. Ces clauses pré-rédigées sont approuvées par la Commission européenne et sont librement disponibles pour toute organisation. L'inclusion de ces clauses dans un contrat le rend conforme au RGPD, à condition que chaque partie les respecte. Pour plus d'informations sur les clauses contractuelles types, consultez le site web de la Commission européenne (lien externe à ibm.com).
Le RGPD impose aux organisations de mener des analyses d'impact sur la protection des données (AIPD) avant tout traitement à haut risque. Même si le RGPD donne quelques exemples, comme l'utilisation de nouvelles technologies ou le traitement à grande échelle de données sensibles, il n'énumère pas toutes les activités à haut risque.
Les organisations peuvent envisager de réaliser une AIPD avant toute nouvelle opération de traitement par précaution. D'autres peuvent utiliser un processus de pré-évaluation simplifié pour déterminer si le risque est suffisant pour nécessiter une AIPD.
Au minimum, une analyse d'impact relative à la protection des données (DPIA) doit décrire le traitement, son objectif, évaluer la nécessité du traitement, estimer les risques pour les personnes concernées et identifier les mesures d'atténuation. Si, après l'application de mesures d'atténuation, le risque reste élevé, l'organisation doit consulter une autorité de protection des données avant de poursuivre.
Les organisations doivent signaler la plupart des violations de données personnelles à une autorité de contrôle dans un délai de 72 heures. Si la violation représente un risque pour les personnes concernées, comme une usurpation d'identité, l'entreprise doit également en informer les personnes concernées. Les notifications doivent être envoyées directement aux victimes, sauf si cela est impossible. Dans ce cas, une notification publique suffit.
Les organisations ont besoin de plans de réponse aux incidents efficaces qui permettent d'identifier rapidement les violations en cours, d'éliminer les menaces et de prévenir les autorités. Les plans de réponse aux incidents doivent comporter des outils et des stratégies pour récupérer les systèmes et rétablir la sécurité de l'information. Plus une organisation reprend rapidement le contrôle, moins elle risque de faire l'objet de sanctions réglementaires graves.
Les organisations peuvent également utiliser cette occasion pour renforcer leurs mesures de sécurité des données. Si une violation de données est peu probable de nuire aux utilisateurs - par exemple, si les données volées sont fortement cryptées et inutilisables pour les pirates - l'entreprise n'est pas tenue de notifier les personnes concernées. Cela peut éviter les conséquences négatives sur la réputation et les revenus qui peuvent résulter d'une violation de données.
Le RGPD octroie aux personnes concernées des droits sur l'utilisation de leurs données par les organisations. Par exemple, le droit de rectification permet aux utilisateurs de rectifier des données inexactes ou obsolètes. Le droit à l'effacement permet aux utilisateurs de supprimer leurs données.
En règle générale, les organisations doivent satisfaire les demandes des personnes concernées dans un délai de 30 jours. Afin de faciliter la gestion des demandes, les organisations peuvent développer des portails en libre-service permettant aux personnes concernées d'accéder à leurs données, de les modifier et d'en limiter l'utilisation. Les portails doivent inclure un moyen de vérifier l’identité des personnes. Le RGPD impose aux organisations la charge de vérifier l'identité des demandeurs.
Les personnes concernées ont des droits spéciaux en matière de traitement automatisé. Plus précisément, les organisations ne peuvent pas utiliser l'automatisation pour prendre des décisions importantes sans le consentement de l'utilisateur. Les utilisateurs ont le droit de contester les décisions automatisées et de demander qu'une personne examine la décision.
Les entreprises peuvent utiliser un portail en libre-service pour permettre aux personnes concernées de contester les décisions automatisées. Les entreprises doivent également être prêtes à désigner des examinateurs, le cas échéants.
Les personnes concernées ont le droit de déplacer leurs données où elles le désirent, et les organisations doivent faciliter ces transferts.
En plus de permettre aux utilisateurs de demander des transferts facilement, les organisations doivent stocker les données dans un format partageable. L'utilisation de formats propriétaires peut compliquer les transferts et entraver les droits des utilisateurs.
Pour obtenir la liste complète des droits des personnes concernées, consultez la page de conformité au RGPD.
Le RGPD impose aux organisations de prendre des mesures de protection des données raisonnables pour fermer les vulnérabilités du système et prévenir les accès non autorisés ou les utilisations illégales. Le RGPD n'impose pas de mesures particulières, mais il précise que les organisations doivent mettre en place des contrôles techniques et organisationnels.
Les contrôles de sécurité techniques englobent des logiciels, du matériel et d'autres outils technologiques, comme des SIEM et des solutions de prévention des pertes de données. Le RGPD encourage fortement le chiffrement et la pseudonymisation, de sorte que les organisations peuvent souhaiter mettre en œuvre ces contrôles en particulier.
Les mesures organisationnelles comprennent des processus tels que la formation des employés aux règles du RGPD et la mise en œuvre de politiques formelles de gouvernance des données.
Le RGPD oriente également les entreprises vers l’adoption du principe de protection des données par conception et par défaut. « Par conception » signifie que les entreprises doivent concevoir leurs systèmes et processus avec la protection des données à l'esprit. « Par défaut » signifie que le réglage par défaut de tout système doit être celui qui protège le plus la vie privée des utilisateurs.
Toute organisation qui souhaite opérer dans l’Espace économique européen (EEE) doit se conformer au RGPD. La non-conformité peut avoir de graves conséquences. Les violations les plus significatives peuvent faire l'objet d'amendes pouvant aller jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires mondial de l'organisation au cours de l'année précédente, selon le montant le plus élevé.
Mais la conformité des données va bien au-delà de l'évitement des sanctions. Cela présente également des avantages. Non seulement la conformité au RGPD permet aux organisations d'accéder à l'un des plus grands marchés mondiaux, mais elle peut également renforcer considérablement les mesures de sécurité des données. Les organisations peuvent prévenir davantage de violations de données, en évitant ainsi un coût moyen de 4,45 millions USD par violation.
La conformité au RGPD peut également améliorer la réputation d'une entreprise et renforcer la confiance des consommateurs. Les gens préfèrent généralement faire des affaires avec des organisations qui protègent efficacement les données de leurs clients (lien externe à ibm.com).
Le RGPD a inspiré des lois similaires sur la protection des données dans d'autres régions, notamment le California Consumer Privacy Act aux États-Unis et le Digital Personal Data Protection Act en Inde. Le RGPD est souvent considéré comme l'une des lois les plus strictes dans ce domaine. Par conséquent, s'y conformer peut aider les organisations à se conformer à d'autres réglementations.
Enfin, si une entreprise ne respecte pas le RGPD, démontrer un certain niveau de conformité peut aider à réduire les conséquences. Les organismes de réglementation tiennent compte de facteurs tels que les contrôles de cybersécurité existants et la coopération avec les autorités de contrôle lors de la détermination des sanctions.
IBM web domains
ibm.com, ibm.org, ibm-zcouncil.com, insights-on-business.com, jazz.net, mobilebusinessinsights.com, promontory.com, proveit.com, ptech.org, s81c.com, securityintelligence.com, skillsbuild.org, softlayer.com, storagecommunity.org, think-exchange.com, thoughtsoncloud.com, alphaevents.webcasts.com, ibm-cloud.github.io, ibmbigdatahub.com, bluemix.net, mybluemix.net, ibm.net, ibmcloud.com, galasa.dev, blueworkslive.com, swiss-quantum.ch, blueworkslive.com, cloudant.com, ibm.ie, ibm.fr, ibm.com.br, ibm.co, ibm.ca, community.watsonanalytics.com, datapower.com, skills.yourlearning.ibm.com, bluewolf.com, carbondesignsystem.com